תוכנת הכופר Ranger Locker מפעילה מכונה וירטואלית להתחמקות מתוכנות אבטחה
מאת:
מערכת Telecom News, 1.6.20, 13:25
זוהתה בפעם הראשונה שיטת פעולה חדשה של תוכנת כופר, שלוקחת את החמקנות לרמה חדשה. איך היא עובדת?
חברת
סופוס, שעוסקת באבטחת סייבר של הדור הבא, זיהתה שיטת פעולה חדשה של תוכנת כופר שלוקחת את החמקנות לרמה חדשה - הפעלה של מכונה וירטואלית חדשה בכל מכשיר מודבק כדי להסתיר את פעילותה ולהתחמק מתוכנות אבטחה.
בהתקפה, שזוהתה לאחרונה ע"י החברה, תוכנת הכופר
Ragnar Loacker הופעלה בתוך מכונה וירטואלית מסוג
Oracle VirtualBox Windows XP. המטען של הנוזקה היה תוכנת התקנה בגודל 122 מגה ביט, שהכילה אימג' וירטואלי בגודל 282 מגה ביט - וכל זאת כדי להסתיר קובץ כופר בגודל של של 49 קילו ביט בלבד.
מבלוג, שכתב
מארק לומן, מנהל הנדסת מזעור איומים בסופוס, עולה, שהגורמים מאחורי
Ragnar Locker ידועים בגניבה של נתונים מרשתות לפני הפעלת תוכנת הכופר, כדי לגרום לקורבנות לשלם. באפריל, אותו גורם איום תקף את הרשת של
Energias de Portugal, בטענה, שהצליח לגנוב 10 טרה של נתוני חברה רגישים. הוא דרש תשלום של 1,580 ביטקוין (כ-11 מיליון דולרים) ואיים לפרסם את הנתונים אם לא ישולם הכופר.
בהתקפות קודמות, קבוצת
Ragnar Loacker ניצלה פרצות של ספקי שירותים או התקפות על פרוטוקול הגישה מרחוק של חלונות (
RDP) כדי להשיג גישה לרשתות המטרה. לאחר שהשיגו גישה ברמת אדמין לדומיין, וחילצו ממנו את הנתונים, הם השתמשו בכלים מובנים במערכת חלונות, כגון
Powershell ו-
Windows Group Policy Objects (
GPO) כדי לבצע תנועה רוחבית ברשת אל מכשירים ושרתים נוספים מבוססי חלונות.
בהתקפה, שזוהתה ע"י החברה, גורם האיום השתמש במשימת
GPO כדי להפעיל את מתקין החלונות (
msiexec.exe), עם הפרמטרים המתאימים להורדה משרת מרוחק והתקנה שקטה של חבילת
MSI, בלתי חתומה, בגודל 122 מגה.
החבילה כללה הייפרווייזור ישן מ-2009, מסוג
Oracle Virtual Box, ואימג' של דיסק וירטואלי (
VDI) בשם
micro.vdi. לאחר התקנה של תוספים ל-
VirtualBox, הקוד ניטרל את שירות זיהוי החומרה של חלונות במטרה לבטל הודעות על הפעלה אוטומטית. בהמשך, הקוד פתח את האפשרות להשתמש בכל הכוננים המקומיים, המכשירים הנתיקים וכונני הרשת ע"י המכונה הווירטואלית שנוצרה.
לאחר שהסביבה הווירטואלית הייתה מוכנה וקבלה הרשאות גישה לכל הנתונים, היא הריצה את קוד ההצפנה הזדוני ופנתה להצפנה של כל המערכות הנגישות. ההרצה של קוד ההצפנה מתוך הסביבה הווירטואלית מנעה מרוב מוצרי ההגנה לנקודות קצה את יכולת הזיהוי והעצירה של האיום.
לומן: "בחודשים האחרונים חזינו את ה-
ransomware מתפתח במספר דרכים. אלא שהגורמים מאחורי
Ragnar Loacker לקחו את הדברים לרמה חדשה עם חשיבה מחוץ לקופסה. הם מפעילים הייפרווייזור מוכר ואמין במאות נקודות קצה במקביל, באמצעות אימג' של דיסק וירטואלי מוגדר ומותקן מראש, שמבטיח את הרצת תוכנת הכופר.
בדומה לרוח רפאים, שמסוגלת לתקשר עם העולם הפיסי, המכונה הווירטואלית שלהם תפורה בדיוק לנקודת הקצה. כך, שהיא יכולה להצפין את הדיסקים המקומיים ולמפות את כונני הרשת במכונה הפיסית, והיא עושה זאת מתוך המישור הווירטואלי ומחוץ לטווח הגילוי של רוב מוצרי ההגנה לנקודות קצה.
המטען העודף הנדרש להפעלת תוכנת הכופר שלהם, ששוקלת 50 קילובייט בלבד, נראה כמו מהלך רעשני ונועז, אבל ייתכן והוא ישתלם בחלק מהרשתות, שאינן מוגנות כראוי מפני תוכנות כופר. זו הפעם הראשונה בה ראינו מכונה וירטואלית המשמשת להפעלת תוכנת כופר".
עוד על פירוט שיטת העבודה של התוקפים -
כאן.